Debido a su creciente popularidad y a la sensibilidad de los datos almacenados en ellas, las aplicaciones móviles son un objetivo cada vez más atractivo para los piratas informáticos. Y por su diseño, las apps son extremadamente vulnerables porque se ejecutan en entornos desprotegidos fuera de los data centers y firewalls, lo que las deja sujetas a una amplia variedad de diferentes tipos de amenazas y ataques.

En este escenario, los datos confidenciales almacenados en el dispositivo o utilizados por la aplicación o el usuario pueden verse fácilmente comprometidos utilizando cientos de herramientas potentes, gratuitas y fáciles de usar, lo que abre miles de vectores de amenaza explotables que son exclusivos de los móviles.

"Las aplicaciones móviles son vulnerables a diversas formas de ciberataques y, de hecho, pueden ser pirateadas. Los ciberdelincuentes pueden explotar agujeros de seguridad incluso en las aplicaciones. Por eso no hay que descuidar la seguridad de las aplicaciones móviles", explica Tom Tovar, CEO y cofundador de Appdome, compañía pionera para la defensa de las aplicaciones móviles.

¿Cuáles son los principales riesgos y los ataques más comunes?

Phishing móvil y fraude sintético

El phishing es un método de ataque muy antiguo desde hace décadas y se presenta en muchas variedades diferentes. En un ataque de phishing, se envía a la víctima una invitación a interactuar con un contenido falso o malicioso que imita a una entidad de confianza, como un mensaje de su banco pidiéndole que verifique su cuenta añadiendo su número de la seguridad social. La víctima cree que está enviando la información sensible a su banco, pero en realidad la está enviando a un malware o a un atacante. El correo electrónico ha sido históricamente un canal popular a través del cual se llevan a cabo las campañas de phishing, pero no es el único. De hecho, los ataques de phishing modernos de hoy en día van mucho más allá del correo electrónico y a menudo implican aplicaciones móviles convertidas en armas, utilizando sofisticados métodos de ataque como malware de superposición, malware de servicios de accesibilidad, aplicaciones y clones falsos, troyanos con malware ofuscado o cifrado, etc.

Malware, ataques de superposición y troyanos

El malware, un tipo de software malicioso diseñado para infiltrarse, dañar o comprometer aplicaciones, puede infiltrarse en aplicaciones o sistemas infectados. Pueden robar información y vigilar la actividad, siendo devastadores para la seguridad de un usuario.

Tomemos como ejemplo los troyanos bancarios BrasDex y Xenomorph, que abusan de las funciones Android AccessibilityService para interceptar eventos entre el sistema operativo y la aplicación. A continuación, aprovecha una carga útil de malware especializada denominada "ATS" o Automated Transfer System, que le permite introducir información en campos dentro de la aplicación móvil. Esto permite al troyano hacerse pasar por el usuario de banca móvil, eludir la MFA y completar transacciones de extremo a extremo, como transferencias de dinero, todo ello sin el conocimiento o la participación del usuario.

Bots maliciosos y ataques de botnets

Los bots maliciosos, a menudo denominados "bots malos", son programas automatizados diseñados para llevar a cabo acciones dañinas o engañosas, como el fraude, la recopilación de datos y el robo financiero. Estos bots son cada vez más sofisticados, imitan el comportamiento humano y se aprovechan de las actividades legítimas de las aplicaciones móviles, lo que dificulta su detección. Las soluciones anti-bot tradicionales han sido diseñadas para aplicaciones web y no tienen la inteligencia necesaria para detectar exploits dirigidos a aplicaciones móviles o al canal móvil, lo que deja un enorme punto ciego en la estrategia de protección de la mayoría de las organizaciones.

El cambio de responsabilidades: un llamamiento a los desarrolladores

En vista de la constante evolución del panorama de las amenazas móviles, los usuarios se encuentran en una posición precaria, enfrentándose a la sofisticada naturaleza de los ciberataques modernos.

"Los usuarios pueden asegurarse de que tienen contraseñas complejas y de que sólo descargan aplicaciones móviles de las tiendas de aplicaciones oficiales. Todo el mundo ha oído alguna vez este consejo, pero lo cierto es que la seguridad no debe recaer sólo en el usuario. La verdad es que es responsabilidad de los desarrolladores. Conscientes de esta realidad, los organismos públicos han reconocido este cambio crucial de responsabilidad", explica Tovar.